Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a présenté le 25 juin dernier son 25e rapport d’activités (2017/2018). Le PFPDT compte actuellement 24 postes affectés aux questions de protection des données et 3.6 postes pour la transparence. Dans son rapport, il revient sur les risques liés à l’utilisation du numéro AVS (NAV13), l’effacement des données de contrôle des titulaires de SwissPass et le droit d’accéder à ses données secondaires de télécommunication. Un résumé des points essentiels est aussi proposé.
La lecture du rapport permet également de prendre connaissance de certaines pratiques qui, même si elles ne sont pas illicites, peuvent surprendre le grand public comme l’externalisation de tâches des assurances-maladie à des prestataires de services externes à la branche (la Caisse de Santé EGK a par exemple confié l’ouverture et la numérisation des lettres à Swiss Post Solutions, une filiale de la Poste Suisse), l’utilisation de plus en plus fréquente de systèmes biométriques de saisie du temps de travail et de contrôle des accès dans le secteur de la restauration, ainsi que l’analyse des paniers d’achats des utilisateurs de la Supercard à des fins de profilage.
Des procédures
Plusieurs procédures sont actuellement en cours et le PFDPT examine notamment la communication de données à des tiers par le site d’enchères ricardo.ch; des signalements de la Centrale d’information de crédit (ZEK) en lien avec des informations insuffisantes fournies à des personnes enregistrées, des entrées erronées dans la base de données et une procédure de rectification inefficace; d’importantes quantités de données sensibles de patients dérobées à la société de recouvrement EOS Suisse SA; le devoir pour l’Administration fédérale des contributions (AFC) d’informer préalablement les personnes dont le nom doit être transmis mais qui ne sont pas formellement visées par les demandes d’assistance administrative en matière fiscale entre la Suisse et les États-Unis; et le traitement de données collectées par des téléviseurs connectés («smart TV»).
La fin des rapports de travail
Le PFPDT a aussi émis quelques recommandations en lien avec la fin des rapports de travail. Il recommande en particulier de prévoir ceci :
- avant son départ, l’employé devrait transmettre les dossiers et courriels en cours à la personne désignée par l’employeur et les quittancer;
- l’employé sur le départ devrait avoir la possibilité de sauvegarder ses courriels privés et d’autres documents sur des supports privés tels que des clés USB, mais aussi de les effacer des serveurs de l’employeur;
- au plus tard le dernier jour de travail, le compte de messagerie électronique de l’employé sur le départ et tous les autres comptes informatiques devraient être bloqués, puis effacés après un certain laps de temps;
- en cas de décès, le compte de messagerie électronique du défunt devrait être bloqué immédiatement, et les données qu’il contient devraient être sauvegardées. Ensuite, les courriels privés du défunt et toutes ses autres données à caractère privé devraient être triés en présence de ses proches selon le principe des quatre yeux;
- les personnes envoyant des courriels à l’adresse bloquée devraient recevoir une réponse automatique leur indiquant que l’adresse du destinataire n’est plus valable. La réponse automatique devrait contenir une adresse de remplacement permettant de contacter l’entreprise. Le message de l’expéditeur ne devrait pas être transmis automatiquement à une autre adresse électronique de l’entreprise.
La transparence en matière de protection des données
Le PFPDT a constaté un manque dans les informations transmises aux personnes concernées dans de nombreux domaines différents, allant de la transmission par la SUVA de données sur les assurés à des fins de recherche aux données collectées dans les véhicules, en passant par l’externalisation du traitement des factures de médecins. Pour que les patients concernés puissent s’informer des modalités de traitement de leurs données, le PFPDT a d’ailleurs invité deux prestataires (en l’occurrence la Caisse des Médecins et Swisscom Health) à mettre en ligne sur leurs sites web les contrats modèles, les contrats de produits, les conditions commerciales générales et les règlements relatifs au traitement des données dans leur version actuelle.
La transparence de l’administration
En matière de transparence, le PFPDT a mené en 2017 un essai pilote visant à accélérer la procédure de médiation et à réduire le nombre de cas pendants. Les demandes sont traitées majoritairement dans le cadre de médiations orales en présence des personnes et des autorités concernées. À défaut d’accord au cours de la séance de médiation, une recommandation est rendue oralement puis rapidement confirmée par écrit avec une motivation sommaire. Les procédures écrites uniquement sont réservées pour les cas exceptionnels (problématiques juridiques complexes, procédure collective non-entrée en matière évidente). Vu le succès de cet essai, la procédure sera pérennisée.